Datenschutz in Corona-Apps: Gegen die Sammelwut

Kurswechsel in Sachen Corona-App: Die Bundesregierung will nun doch auf ein dezentrales Modell setzen. Datenschützer:innen freuen sich darüber.

Ein Mann mit Mundschutz sortiert Nummern und Smartphones

Technische Hochschule in Lausanne: Hier wird am Grundgerüst für eine dezentrale App gearbeitet Foto: Laurent Gillieron/dpa

BERLIN taz | Die Bundesregierung ist in Sachen Corona-App umgeschwenkt: Nachdem sie in den vergangenen Wochen trotz der steten Kritik von Datenschützer:innen an einem zentralen Modell festgehalten hatte, teilte das Gesundheitsministerium am Sonntag mit, man wolle nun doch auf ein dezentrales Modell setzen.

„Unser Ziel ist es, dass angesichts der bereits erfolgenden Öffnungen nach den umfangreichen Kontaktbeschränkungen sehr bald die Tracing-App einsatzbereit ist und in der Bevölkerung sowie der Zivilgesellschaft eine breite Akzeptanz findet“, heißt es in dem Statement von Gesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun (beide CDU). Datenschützer:innen und IT-Expert:innen loben den Schwenk – sehen aber noch nicht alle Probleme gelöst.

Bei der Corona-Tracing-App geht es um eine Smartphone-Software, mit der Kontakte von Sars-CoV-2-Infizierten schnell gewarnt werden sollen. Die Kontakte sollen sich kurzfristig in Quarantäne begeben und testen lassen, sodass Infektionsketten frühzeitig unterbrochen werden. Schätzungen zufolge müssten etwa 60 bis 70 Prozent der Bevölkerung eine solche App installieren, um einen maßgeblichen Anteil zur Pandemiebekämpfung zu leisten. Um auch Menschen ohne Smartphone die Teilnahme zu ermöglichen, könnten Bluetooth-Tokens eingesetzt werden.

In einigen Punkten sind sich zentrales und dezentrales Modell dabei ähnlich: Beide setzen auf die Technologie Bluetooth Low Energy, um andere, in unmittelbarer Nähe befindliche Smartphones zu erkennen und zu speichern, welche Geräte in der Nähe waren. Dabei generiert die App für die Kommunikation miteinander ständig wechselnde IDs, um die Privatsphäre der Be­sit­ze­r:innen zu schützen. Wird ein Mensch positiv getestet und meldet das mit einem dafür erhaltenen Code, werden die Kontakte aus den vergangenen Wochen informiert.

Offener Brief gegen zentrale App

Doch es gibt einen wichtigen Unterschied: Beim dezentralen Ansatz werden die im Infektionsfall notwendigen Berechnungen, welches Gerät wann welchem nahe war, auf den Smartphones selbst durchgeführt. Beim zentralen Modell dagegen landen die IDs und Kontakte auf einem zentralen Server, etwa beim Robert-Koch-Institut. Das hätte aus den dort zusammenlaufenden Daten beispielsweise Kontaktnetzwerke erstellen können – also Graphen darüber, wer wann mit wem Kontakt hatte. Mit so einer Übersicht lassen sich Menschen identifizieren. Und auch die Kommunen hatten schon ­Interesse an den Daten angemeldet – für die Gesundheitsämter.

Zuletzt hatten nicht nur zahlreiche zivilgesellschaftliche Organisationen, sondern auch Wis­sen­schaft­le­r:innen in einem offenen Brief vor einem zentralen Modell gewarnt. „Es ist entscheidend, dass wir aus der aktuellen Krise heraus kein Werkzeug schaffen, das eine Datensammlung der Bevölkerung in großem Stil erlaubt – weder jetzt noch später“, hieß es darin. Auch an dem europäischen Projekt PEPP-PT, das in Deutschland als Grundlage für ein zentrales System dienen sollte, hatte sich die Kritik gehäuft. Einige Beteiligte hatten es verlassen, um sich auf die Entwicklung eines dezentralen Konzepts, DP-3T, zu konzentrieren. Sie kritisierten PEPP-PT unter anderem als nicht ausreichend transparent. Von DP-3T stehen über die Entwicklerplattform Github mittlerweile erste Alpha-Versionen zum Testen und Melden von Feedback bereit, sowohl für Android als auch für iOS.

Anke Domscheit-Berg, Netzpolitikerin (Linke)

„Eine sichere App kann Leben retten“

Der Erklärung von Spahn und Braun zufolge war die Einsicht, dass Nutzer:innen mehr Vertrauen in ein dezentrales Modell haben, Ursache für den Kurswechsel. Doch es könnte noch eine andere Komponente eine Rolle gespielt haben: die Funktionsfähigkeit der App auf ­iPhones. Apples iOS ist stärker abgeschottet als Googles Android, Apple hätte Änderungen in den Tiefen des Betriebssystems vornehmen müssen. Einige Anpassungen bei den Krypto- und Bluetooth-Spezifikationen haben Google und Apple zwar jüngst bekannt gegeben – doch ob damit ein zentrales Modell möglich würde, ist unklar.

Zumal Apple und Google gemeinsam bereits an dem Gerüst für eine dezentrale App basteln. Der französischen Zeitung Les Echos sagte EU-Binnenmarktkommissar Thierry Breton, Apple-Chef Tom Cook habe ihm versichert, dass die Entwicklerschnittstelle diesen Dienstag vorgestellt werden soll. Wann die von der Bundesregierung initiierte App kommt, steht noch nicht fest.

Zweifel der Datenschützer:innen

Nach der Vorstellung des Gesundheitsministeriums soll die App nun folgendermaßen aussehen: Eine Art Basis-App dient der Nachverfolgung von infizierten Kontakten, und zwar dezentral. Dazu kommt eine weitere, ebenfalls freiwillige Funktion. Mit der sollen Nut­ze­r:in­nen pseudonymisierte Daten an das Robert-Koch-Institut (RKI) übermitteln.

Datenschützer:innen reagieren auf diese Zusatzfunktion skeptisch. Einerseits, weil Nut­ze­r:in­nen unsicher sein könnten, welche Daten denn nun tatsächlich wo landen. Das würde erneut das Vertrauen schmälern. Andererseits, weil es bereits eine Datenspende-App des RKI gibt. Mit der können Nutzer:innen mit einem Fitness-Armband oder einer Smartwatch Vitaldaten wie Herzfrequenz und Körpertemperatur an das RKI übermitteln. Das Problem: Zum Start der App wurden diverse Datenschutzprobleme bekannt.

Die Linken-Netzpolitikerin Anke Domscheit-Berg begrüßt zwar grundsätzlich die Entscheidung für ein dezentrales Modell: „Jeder Tag früher, den eine sichere und datenschutzfreundliche App zur Verfügung steht, kann buchstäblich Menschenleben retten.“ Dennoch sieht sie die Zusatzfunktion zur weiteren Datenübermittlung an das RKI kritisch. Zu oft sei es bei Apps der Fall, dass nach einem Update die Einstellungen verändert seien – hin zu schlechterem Datenschutz. Darüber hinaus sei es ein zusätzliches Einfallstor für Angriffe und die zentrale Sammlung von sensiblen Daten ein grundsätzliches Risiko.

Auch Linus Neumann vom Chaos Computer Club (CCC) ­begrüßte in der ARD grund­sätzlich den Kurswechsel: „Ich halte das für eine sehr gute Entscheidung.“ Nun gehe es darum, das Konzept sauber umzusetzen.

Eine der weiteren Anforderungen des CCC: Der Programmiercode muss Open Source sein. Dann ließe sich einerseits von kundigen Menschen überprüfen, ob die App nur das macht, was sie machen soll. Andererseits würde das ermöglichen, mit geringem Aufwand eine App zu bauen, bei der die Datenspenden-Funktion gar nicht enthalten ist. Und noch ein Vorteil: Android-Nut­ze­r:in­nen könnten die App dann an Googles Play-Store vorbei installieren – etwa über die Open-Source-Plattform F-Droid. Und damit ein paar Daten weniger an Google geben.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.